J'ai reçu un courriel d'un inconnu, y'a quelques semaines.
Le genre de message court qui te fait arrĂȘter de scroller:
Frank, ton site a A, B, et C vulnérabilités de sécurité. Je voulais juste te le dire.
Le site en question avait Ă©tĂ© buildĂ© avec Claude Code en quelques heures. Ăa marchait, c'Ă©tait propre, j'Ă©tais fier de moi.
Pis avant de le mettre live, j'avais fait ce que je fais tout le temps maintenant: j'avais demandé à mon agent si c'était sécuritaire.
Il m'avait sorti une réponse rassurante. Bonnes pratiques, pas d'enjeux évidents, bon travail.
Donc j'avais shippé.
Le courriel de l'inconnu est arrivé deux semaines plus tard.
Y'avait pas eu de crash. Pas d'alerte. Pas de message d'erreur. Rien qui indiquait que quelque chose clochaitâjusqu'Ă ce que quelqu'un qui savait quoi chercher trouve.
C'est ça le vrai problÚme. Pas l'AI qui génÚre du mauvais code mais l'AI qui génÚre du code fonctionnel en apparence avec des angles morts.
(Pis du monde pas expérimenté cÎté sécurité qui vibe-code away... comme moé)
Le silence â un signe que tout va bien. C'est juste... l'absence de feedback.
La confiance qui s'installe
Y'a quelque chose qui se passe quand tu utilises des outils AI depuis un moment.
Au début, tu vérifies tout. Tu relis le code. Tu testes manuellement. Tu demandes à un deuxiÚme agent ce que le premier fait, ce qu'il génÚre. T'es sur tes gardes.
Mais tranquillement, la confiance s'installe. T'as vu tellement de bon output que tu commences Ă faire confiance au processus. Le code a l'air propre, le feature marche, les tests passentânext.
C'est humain. MĂȘme raisonnable, dans un sens.
Mais Cyndie Feltz, cofondatrice chez Yack, m'a sorti cette analogie:
Mettons que tu n'es pas architecte. Si tu demandes Ă ChatGPT de te faire des plans de maison, ça va avoir l'air sur la coche. Les mesures vont ĂȘtre lĂ , les matĂ©riaux vont avoir du sens. Mais si t'as pas l'expertise pour valider ce qu'il te donneât'as aucun moyen de savoir si les fondations tiennent. Ăa va avoir l'air beau jusqu'au jour oĂč ça ne tient plus.
Bref, tu sais pas ce que tu sais pas. C'est exactement ça.
Le volume, la vitesse, pis la QA qui disparaĂźt
Le vibe coding, c'est magique pour shipper vite.
Mais y'a un effet secondaire dont on parle pas assez: plus tu vas vite, plus t'as du code et moins t'as de recul pour juger ce qui sort.
Avant, un.e dev sénior écrivait chaque ligne. Elle comprenait le contexte, les implications, les angles morts. Là , t'as des milliers de lignes générées en quelques heures. De nouvelles fonctionnalités. De nouveaux endpoints. De nouveaux rÎles dans ton app.
Cyndie le formule bien:
On va pas dire aux gens d'arrĂȘter d'utiliser l'AI. C'est pas rĂ©aliste, pis c'est pas le but. Le but, c'est de s'assurer que la QA suit le rythme.
Le problĂšme, c'est que la QA suit rarement le rythme.
Et les vulnérabilités, elles s'accumulent dans cet écart-là .
L'angle mort: les autorisations
J'ai demandĂ© Ă Nicholas Milotâl'autre cofondateur chez Yackâc'est quoi le plus gros angle mort qu'il voit dans les apps SaaS en ce moment.
Sans hésiter: les autorisations.
C'est pas un bug qui fait flasher des alertes. Y'a pas de message d'erreur rouge dans ta console. C'est juste un user standard qui peut caller un endpoint d'adminâparce que quelqu'un a oubliĂ© de valider les permissions cĂŽtĂ© back-end.
Ăa sonne simple, mais voilĂ comment ça arrive en pratique.
Tu build ton app. Au début, t'as deux rÎles: admin et user. Simple. Tu sécurises ça correctement. Pas de trouble.
AprÚs six mois, t'as rajouté un rÎle viewer, un rÎle manager, un rÎle billing. T'as refactorisé trois fois. T'as utilisé quatre contextes de conversation différents avec ton AI pour builder les nouvelles fonctionnalités. Chaque conversation, le modÚle a une vision partielle de ton app.
(Y'a moyen de bien te set up pour éviter ça, mais la majorité ont pas les connaissances ou la patience pour.)
Pis quelque part dans tout ça, y'a un endpoint qui retourne un 200 à quelqu'un qui devrait avoir un 403.
Dans une app multi-tenant, comme m'expliquait Nico, ça veut dire qu'un client peut voir les données d'un autre client. Juste parce que le check de permission a été oublié sur un seul endpoint, dans une seule route, dans un refactor fait à 2h du matin avec un LLM qui connaissait pas le contexte complet.
RĂ©glable. Mais il faut prendre la peine de regarder.
Et la partie tricky, c'est que mĂȘme les bons devs ont ce blind spot. C'est pas une question de compĂ©tence... plus une de volume et de contexte fragmentĂ©. L'AI gĂ©nĂšre du code fonctionnel, mais il a pas de mĂ©moire globale de la structure de permission de ton app Ă travers dix semaines de dĂ©veloppement.
Deux trucs concrets pour te protéger
En attendant ton premier pen test, y'a des choses que tu peux checker toi-mĂȘme.
1. Teste tes autorisations manuellement. Nico l'explique dans notre capsule cybersĂ©curitĂ©: beaucoup d'apps mettent l'ID du user dans la requĂȘte API. Change l'ID pour celui d'un autre user. Si tu vois ses donnĂ©es, t'as un IDOR (Insecure Direct Object Reference) â la vulnĂ©rabilitĂ© #1 qu'ils trouvent en pen test. Supabase, par exemple, rend cette erreur-lĂ facile Ă faire (excellent produit, mais faut l'utiliser comme il faut).
2. Tes clĂ©s API traĂźnent probablement quelque part. J'ai moi-mĂȘme eu une facture de 800$ chez OpenAI parce que ma clĂ© Ă©tait exposĂ©e. Nico confirme: les premiers caractĂšres d'une clĂ© API sont toujours les mĂȘmes â tu peux les searcher sur GitHub et tu vas en trouver des tonnes. Mets des spending limits. Toujours.
Une chÚvre qui crie aprÚs tes vulnérabilités
La question, c'est pas si tes autorisations sont parfaites. C'est: est-ce que t'as un moyen de le savoir?
C'est pour ça que Cyndie, Nico et Jacob ont buildĂ© Tahr â le sidekick de Yack (oui, encore un animal de montagne đ). Tu branches ton staging, tu fournis ton API schema, tu dĂ©finis tes rĂŽles, et Tahr cherche les vulnĂ©rabilitĂ©s que tu as laissĂ© sur ton app incluant ce qui retourne un 200 quand ça devrait retourner un 403.
C'est en bĂȘta privĂ©e. Inscris-toi Ă la waiting list si t'es curieux.
Quelque chose à ajouter? Good. Laisse un commentaire ou réponds à ce courriel direct.
Cheers,
Frank đ
Des AI agents pour le web sans API đ€
95% de l'internet n'a pas d'API. Les portails de cliniques mĂ©dicales, les comptes d'Ă©lectricitĂ©, les plateformes RH â Zapier et Make ne peuvent pas y toucher.
Deck a buildĂ© des AI agents qui se connectent Ă nâimporte quel portail protĂ©gĂ© par un login avec tes credentials et font des actions at scale : soumettre des formulaires, migrer des donnĂ©es dâemployĂ©s, tĂ©lĂ©charger des factures.
On a passé du temps avec YG (cofondateur & CEO) pour aller dans les détails.
Le levier que la plupart des founders ignorent
La plupart des founders diluent par défaut. Parce qu'ils connaissent pas l'alternative.
Finalta Capital finance tes crĂ©dits dâimpĂŽt (RS&DE, CDAE, et autres) Ă 2x ce quâune banque tâoffrirait â sans te demander une seule action en Ă©change. Et ils dĂ©boursent avant que tu aies mĂȘme commencĂ© Ă dĂ©penser.
Ăa change le game sur comment tu structures ta croissance, non? đ§
Payer pour du stockage que tu utilises mĂȘme plus đč
C'est le genre de truc qui passe en dessous du radar. Ton S3 accumule des donnĂ©es inutiles depuis des mois â et AWS te charge pour chaque giga.
Unicorne détaille comment régler ça une bonne fois pour toutes :
lifecycle policies dans ton code, versionnées, appliquées uniformément. Pas juste un bucket patchwork.
Simple Ă implĂ©menter. Facile Ă manquer si personne te le montre. đ€·
Rejoins les SaaSpals đ
Merci tellement Ă tous nos SaaSpals. Votre support nous motive BIG TIME.
Partenaires certifiĂ©s SaaSpasse đ
HUGE merci à tous nos partenaires certifiés pour cette année :
Le Chiffre đ§Ÿ
Leviat đšââïž
Baseline đ€
Unicorne đ©ïž
Finalta Capital đ°
Podcast
Voici le dernier Ă©pisode du pod :
Pas encore abonnĂ© au pod? Letâs go :
Okay bobye!
Reply